防火墙防火墙软件
防火墙软件 时间:2021-04-02 阅读:(
)
H3CV5平台防火墙维护指导日期:2013年4月杭州华三通信技术有限公司版权所有,未经授权不得使用与传播V5平台防火墙软件特性V5平台防火墙维护注意事项引入www.
h3c.
com2V5平台防火墙软件特性V5平台防火墙维护指导目录www.
h3c.
com3ComwareV5防火墙软件版本B70平台F5000AR3206/F1000ER3166/UTM(F1000-S-EI)R5116Web管理页面整改、域间策略、板卡支持4G内存B83平台F1000EF3169/F5000AF3207/UTM(F1000-S-EI)F5123双机热备配置同步、IPv6包过滤、链路聚合、GREP2MPB98平台F1000EF3171/F5000AF3210/F1000-X-XIR3721盒式产品支持SSLVPN、虚拟防火墙独立管理B108平台F1000EF3174/F1000-X-GE3725/F100-X-GR5136除负载均衡、会话加速、SSLVPN外,支持命令行配置板卡支持NAT444、支持新建连接数MIB节点www.
h3c.
com4防火墙管理方式选择遇Web页面打不开,先清浏览器缓存并开启"兼容性视图".
www.
h3c.
com5系统配置管理防火墙配置文件有CLI和Web共两个.
www.
h3c.
com6系统服务管理默认仅开启HTTP服务,端口号80.
设备默认产生的CA、Local证书仅满足基本SSL需求.
www.
h3c.
com7系统时间管理插卡类防火墙重启后时间会丢失推荐通过NTP服务同步系统时间注意准确配置系统时区www.
h3c.
com8链路聚合支持情况支持二层、三层聚合支持跨板聚合不支持动态聚合IRF2www.
h3c.
com9路由协议支持情况仅F5000A支持ISIS仅F5000A支持BFDOSPFISISPIMStaticRIPBGPwww.
h3c.
com10安全区域防火墙自身接口属于Local区域.
Management仅能与Management、Local区域互通.
新版本系统默认域间策略转发规则为全部阻断,老版本系统默认安全区域之间按照优先级进行转发.
B108平台支持"Any域",在根墙中代表除Management区域外其他全部安全区域,在虚墙中代表全部安全区域.
www.
h3c.
com11安全区域部署示例防火墙所有接口属于Local区域将某个接口加入安全区域代表该接口所连接网络属于该区域防火墙接收报文时,安全区域属性判定与转发模式有关与Vlan接口类似的还有Tunnel接口、VT接口等Management192.
168.
0.
0/24DMZ_A172.
16.
0.
0/24DMZ_B172.
16.
0.
0/24Trust10.
0.
0.
0/8G1/2G0/2G0/1G0/3G1/1G0/0V-ifZoneDMZV-ifZoneUntrustLocalAreawww.
h3c.
com12域间策略域间策略模块相对比较稳定.
注意资源对象、策略的配置方法.
注意策略与会话的关系.
善用域间策略以实现加固系统的目的.
www.
h3c.
com13慎用域间策略加速相同源、目的域之间有大量规则时使能才有意义.
域间策略加速后不能再修改域间策略,会引起策略失效.
先关闭加速、修改策略后再重新加速.
非特定测试类场景不启用该功能.
ACL加速与之类似.
www.
h3c.
com14会话表能够读懂会话表项中的每一项信息是安全工程师基本技能.
www.
h3c.
com15关联表关联表由ALG功能模块产生.
负责应用层地址转换、数据通道检测等重要功能.
www.
h3c.
com16会话/关联表项、域间策略、报文转发未开启"保存上一跳"功能,会话表项不决定如何转发报文.
开启"保存上一跳"功能,会话表项决定如何转发反向报文.
接收报文查找二三层转发表项、确定目的安全区域、创建会话表项是否匹配当前会话表或关联表某具体表项查找二三层转发表项后转发是否命中用户自定义域间策略按域间策略处理若过滤动作为允许则查找二三层转发表项后转发并创建会话表否则丢弃报文且不创建会话表项按默认策略处理是是否否www.
h3c.
com17合理调整会话表项老化时间同等条件下:会话老化时间调得比缺省值更短,防火墙并发连接数会减少;调得比缺省值更长,并发连接数会增加.
www.
h3c.
com18单向流检测、TCP会话长连接使能单向流检测功能,防火墙允许同一条流仅有单方向报文经过防火墙并建立会话表项.
但其会大大降低了防火墙的安全性.
仅在V5防火墙与其它设备组网且流量来回路径不一致时开启.
长连接会话,ACL条目越精细越好,老化时间越合理越好.
www.
h3c.
com19UserlogUserlog不仅要配置日志版本、日志主机,还要配置日志输出策略,否则防火墙不产生日志信息.
Userlog支持以二进制流格式或Syslog格式输出至日志主机.
www.
h3c.
com20报文异常检测安全区域为攻击报文来源区域.
ICMP不可达报文、ICMP重定向报文、Tracert报文建议不选.
www.
h3c.
com21流量异常检测安全区域为攻击来源区域.
仅TCPSYNFlood攻击防范支持Proxy功能.
www.
h3c.
com22虚拟分片重组仅对三层IP分片报文有效.
功能默认开启,安全区域为报文来源区域.
按默认配置估算,防火墙最大可处理IP报文为1500*16字节.
www.
h3c.
com23双机热备——会话同步与配置同步双机热备分为会话同步和配置同步两大主要功能配置同步目前仅支持自动同步,且必须在配置主设备上操作备份接口间支持跨IEEE802.
1Q交换机桥接备份接口支持内联万兆口www.
h3c.
com24NAT配置与双机热备双机热备组网中,两台防火墙配置NAT时需做好地址规划.
双机热备主备关系组网,须配置VRRP,并将NAT命令与VRRP组绑定.
注意地址池优先级.
涉及VPN-Instance的,配置NAT命令时也不能少.
www.
h3c.
com25虚拟防火墙虚拟防火墙不同虚墙之间的关系、及安全区域及域间策略.
虚拟防火墙与VRF(vpn-instance)之间的关系.
虚拟防火墙的会话表.
虚拟防火墙的登录、配置、管理.
www.
h3c.
com26SSLVPNSSLVPN基本特性B98平台合入功能,仅支持IP资源接入无需外接扩展卡或加密卡无需客户采购LicenseSecPathF5000A、SecBlade规格不支持支持WindowsXP/Vista/732bit/64bit操作系统支持IE6.
0/7.
0/8.
0/9.
032bit/64bit(later)浏览器环境本地可创建用户数参考1000(FW)/100(UTM)同时在线用户数参考100(FW)/50/(UTM)www.
h3c.
com27SSLVPN注意事项客户端软件需在操作系统及浏览器环境运行,须避免其对客户端软件的影响.
避免杀毒软件、360安全卫士等安全软件对SSLVPN客户端启动运行产生的影响.
www.
h3c.
com28不同型号防火墙软件特性细节差导产品手册详细记录了各型号设备对某软件特性的支持情况.
某软件特性在具体的产品型号上是否提供支持关于该软件特性的一些重要说明www.
h3c.
com29V5平台防火墙软件特性V5平台防火墙维护指导目录www.
h3c.
com30F5000A的绊脚石——buffer小上面三种场景在业务流量突出较多时容易出现转发丢包"以多欺少"、"以大欺小"要在组网规划时避免.
HASH不均可通过配置聚合链路逐包分担缓解.
5*1GE2*1GE10GE1GE2*1GElink-aggregation2*1GElink-aggregation"以多欺少""分赃不均""以大欺小"www.
h3c.
com31SecBladeII跨Vlan二层转发部署跨Vlan二层转发部署容易引起二层环路,不推荐.
VLAN20VLAN10VLAN20VLAN10www.
h3c.
com32双机热备那些事儿一条数据流不应同时经过形成双机热备关系的两台防火墙"支持非对称路径"和"不支持非对称路径"单卡每秒新建会话性能减半www.
h3c.
com33事故多发地段——ALG[H3C]undoalgallEnableallALGfunctiondnsEnablednsALGfunctionftpEnableftpALGfunctiongtpEnableGTPALGfunctionh323Enableh323ALGfunctionilsEnableilsALGfunctionmsnEnableMSNALGfunctionnbtEnablenbtALGfunctionpptpEnablePPTPALGfunctionqqEnableQQALGfunctionrtspEnablertspALGfunctionsccpEnableSCCPALGfunctionsipEnablesipALGfunctionsqlnetEnablesqlnetALGfunctiontftpEnableTFTPALGfunctionV5平台ALG模块已知问题较多,在维护过程中建议将不用的模块尽量关闭.
www.
h3c.
com34"两高"——HighCPU、HighMemory[H3C]displaycpu-usageUnitCPUusage:67%inlast5seconds55%inlast1minute60%inlast5minutes[H3C-hidecmd]displaycpu-usagetask=====CurrentCPUusageinfo=====CPUUsageStat.
Cycle:51(Second)CPUUsage:65%CPUUsageStat.
Time:2013-04-0306:20:39CPUUsageStat.
Tick:0x107(CPUTickHigh)0xaeb91808(CPUTickLow)ActualStat.
Cycle:0x0(CPUTickHigh)0xccdb530b(CPUTickLow)TaskNameCPURuntime(CPUTickHigh/CPUTickLow)VIDL30%0/b91b29fcTICK0%0/78640fSTMR4%0/895bf10DRVT4%0/8489d36TMSG0%0/331a42IPCB0%0/be3fbRPCQ0%0/36621eVP0%0/328ADJ60%0/8679IPCM0%0/f63aINFO55%0/c399OMS0%0/1a249----More----控制平面CPU使用率info-center进程占用率高[H3C]displaymemorySystemTotalMemory(bytes):3212817600TotalUsedMemory(bytes):3105304620UsedRate:96%内存占用率高主要由于会话表项数量多造成ComwareV5平台会话管理模块占用内存回收缓慢,紧急情况可通过重置会话表,即执行resetsession命令临时缓解和恢复(大流量下可能造成设备重启,需谨慎)www.
h3c.
com35SessionFlood类攻击分析与判断displaysessionstatisticsCurrentsession(s):2000298CurrentTCPsession(s):1993223Half-Open:1980032Half-Close:2543CurrentUDPsession(s):5692CurrentICMPsession(s):1380CurrentRAWIPsession(s):3Currentrelationtable(s):0Sessionestablishmentrate:65443/sTCPSessionestablishmentrate:63443/sUDPSessionestablishmentrate:1495/sICMPSessionestablishmentrate:505/sRAWIPSessionestablishmentrate:0/sReceivedTCP:51475234packet(s)875581044byte(s)ReceivedUDP:1153404packet(s)456559980byte(s)ReceivedICMP:4383187packet(s)561047936byte(s)ReceivedRAWIP:1130packet(s)42708byte(s)DroppedTCP:359965packet(s)33467904byte(s)DroppedUDP:213260packet(s)6535692byte(s)DroppedICMP:21578packet(s)179806byte(s)DroppedRAWIP:0packet(s)0byte(s)TCP半开会话比例异常TCP会话新建速率异常www.
h3c.
com36SessionFlood类攻击防范分析攻击类型查看防火墙会话表,分析攻击流量常见Flood类攻击包括源地址固定、目的地址固定等攻击流量的目的IP是否是防火墙自身大流量广播报文也要引起重视制定应对手段域间策略——实施精确打击黑名单——自身性能代价最小URPF——专克源IP地址欺骗攻击防范策略——根据管理员阈值配置抵御DoS流量www.
h3c.
com37多核CPU转发ComwareV5平台防火墙采用多核多线程CPU架构.
控制核与转发核逻辑分离.
转发线程默认使用逐包分担,可改为逐流分担.
www.
h3c.
com38吞吐量、快速转发表、会话加速ComwareV5平台防火墙默认开启IP快速转发.
默认配置,当会话表进入稳定状态后建立相应快转表.
[H3C-hidecmd]displayipfast-forwardingstatisticsIpfast-forwardingstate:enableIpfast-forwardingenableUpdatetime:5000msUpdatemaxnum:128Cacheused:validusedcaches:0waitfreecaches:0totalusedcaches:0Cachefreeing:currentfreecaches:0nextfreecaches:0idlefreecaches:0totalfreecaches:0Hashbucketnumber:4194304Hashbucketcapability:4Hashnohitbuckets:4194304Hashhitbuckets:0HashBucketsusestatistics(Capability:Number):----More----www.
h3c.
com39运行中重启问题[H3C-hidecmd]displayexception10verboseexceptioninfo(no:0)ExceptionNumber:0x20ExceptionName:NMIExceptionInstruction:0x81345B4CExceptionSlot:0ExceptionVCpu:0ExceptionTask:vt0(TID:75)ExceptionStackBase:0x804bbfe8ExceptionTime:2012-11-2807:25:36ExceptionTick:0x57(CPUTickHigh)0xa69ad3e7(CPUTickLow)Registercontents:Reg:zero,Val=0x00000000;Reg:at,Val=0x82cd0000;Reg:v0,Val=0x8205ff0c;Reg:v1,Val=0x8205ff04;Reg:a0,Val=0x81345b4c;Reg:a1,Val=0x014b3796;Reg:a2,Val=0x955dce28;Reg:a3,Val=0x00000101;Reg:t0,Val=0x014e7380;Reg:t1,Val=0x00000110;Reg:t2,Val=0x00000000;Reg:t3,Val=0x00000000;Reg:t4,Val=0x0000004d;Reg:t5,Val=0x001f001e;Reg:t6,Val=0x00015180;Reg:t7,Val=0x804bafc8;Reg:s0,Val=0x00d08df1;Reg:s1,Val=0x00000004;Reg:s2,Val=0x014b3767;Reg:s3,Val=0x00d08df2;Reg:s4,Val=0x00000101;Reg:s5,Val=0x00000100;及时收集堆栈信息,对定位重启类问题有关键性作用反馈组网拓扑、设备配置、诊断信息等www.
h3c.
com40让防火墙再快一点儿控制平面转发平面接收发送命中非稳态会话命中关联表会话需ALG处理需IPSecSA处理需GRE处理需L2TP处理需QoS处理快速转发表失效重建修改域间策略需防火墙本地处理……其它快转不支持报文F5000A主控板CPU非F5000AVCPU0(1)F5000A业务板FPGA非F5000AVCPU(1)2~NComwareV5防火墙产品型号不少,主要不同在产品形态、性能吞吐量、接口数量.
其软件平台特性和配置维护方法是共通的.
ComwareV5防火墙软件特性重点关注安全区域、域间策略、会话、攻击防范、双机热备等相互联系.
不要把防火墙简简单单地视为普通路由器.
小结杭州华三通信技术有限公司www.
h3c.
com
关于HostDare服务商在之前的文章中有介绍过几次,算是比较老牌的服务商,但是商家背景财力不是特别雄厚,算是比较小众的个人服务商。目前主流提供CKVM和QKVM套餐。前者是电信CN2 GIA,不过库存储备也不是很足,这不九月份发布新的补货库存活动,有提供九折优惠CN2 GIA,以及六五折优惠QKVM普通线路方案。这次活动截止到9月30日,不清楚商家这次库存补货多少。比如 QKVM基础的五个方案都...
港云网络官方网站商家简介港云网络成立于2016年,拥有IDC/ISP/云计算资质,是正规的IDC公司,我们采用优质硬件和网络,为客户提供高速、稳定的云计算服务。公司拥有一流的技术团队,提供7*24小时1对1售后服务,让您无后顾之忧。我们目前提供高防空间、云服务器、物理服务器,高防IP等众多产品,为您提供轻松上云、安全防护。点击进入港云网络官方网站港云网络中秋福利1元领【每人限量1台】,售完下架,活...
国外主机测评昨天接到Hostigger(现Hostiger)商家邮件推送,称其又推出了一款特价大内存VPS,机房位于土耳其的亚欧交界城市伊斯坦布尔,核50G SSD硬盘200Mbps带宽不限月流量只要$59/年。 最近一次分享的促销信息还是5月底,当时商家推出的是同机房同配置的大内存VPS,价格是$59.99/年,不过内存只有10G,虽然同样是大内存,但想必这次商家给出16G,价格却是$59/年,...
防火墙软件为你推荐
access数据库ACCESS数据库有什么用李子柒年入1.6亿李子柒男朋友是谁,李子柒父母怎么去世的?百度关键词工具如何利用百度关键词推荐工具选取关键词网站检测请问,对网站进行监控检测的工具有哪些?mole.61.com摩尔庄园RK的秘密是什么?www.javmoo.comJAV编程怎么做?菊爆盘请问网上百度贴吧里有些下载地址,他们就直接说菊爆盘,然后后面有字母和数字,比如dk几几几的,baqizi.cc徐悲鸿到其中一张很美的女人体画baqizi.cc誰知道,最近有什麼好看的電視劇dadi.tv1223tv影院首页地址是什么?1223tv影院在哪里可以找到?
域名服务器上存放着internet主机的 bluehost rak机房 mysql主机 国外网站代理服务器 三拼域名 毫秒英文 bgp双线 阿里校园 卡巴斯基试用版 in域名 网通服务器 wordpress中文主题 阿里云邮箱登陆地址 汤博乐 建站论坛 cc加速器 傲盾代理 德国代理ip shuangshiyi 更多